Прочитав и в который раз озадачившись необходимостью установки на своих проектах cookie-баннера для европейских посетителей, взялся изучить вопрос cookies и GDPR более подробно.
/ Flickr / Marco Verch / CC BY / Фото изменено
Для начала напомню, что GDPR — это Европейский регламент по защите данных, действующий повсеместно с 2018 года. Важно стараться его соблюдать, если у бизнеса есть хоть какие-то связи с Европой.
Для многих обычных сайтов, не хранящих вообще никаких персональных данных, соблюдение GDPR ограничивается установкой cookie-баннера для посетителей из Европы. По большей части нужно это, чтобы через них не позволять гигантам вроде Google, Facebook или Яндекс отслеживать поведение и предпочтения европейцев.
Если cookie-баннера на сайте нет
Вы соблюдаете GDPR, если не устанавливаете вообще никаких куков или устанавливаете только куки, строго-необходимые для работы сайта. Еврокомиссия приводит примеры таких cookies:
- сессионные и создаваемые на основании пользовательского ввода. Например, сохраняющие данные о товарах в корзине покупок;
- сессионные для аутентификации;
- сессионные для воспроизведения мультимедийного содержимого. Например, куки медиа-плеера;
- сессионные для балансировки нагрузки;
- используемые для обнаружения несанкционированного доступа и связанные с функциональностью, явно запрашиваемой пользователем — в течение ограниченного периода времени. Например, куки, подсчитывающие количество попыток ввода пароля;
- куки пользовательского интерфейса: сессионные или устанавливаемые до нескольких часов.
Установка строго-необходимых куков не требует получения согласия. Во всех остальных случаях согласие необходимо (п. 32 Преамбулы GDPR) и cookie-баннер нужно установить.
Если cookie-баннер есть
Вы соблюдаете GDPR, если установленный баннер до получения согласия посетителя из ЕС блокирует загрузку куков, не являющихся строго необходимыми. К таким кукам относятся маркетинговые (например, куки от Google Adsense, Facebook, DoubleClick, Яндекс.Директ), статистические (Google Analytics, Яндекс.Метрика) и прочие, не влияющие на функционал и работу сайта.
Другими словами все рекламные, статистические и подобные куки нельзя устанавливать без согласия посетителей из Европы. Об этом, кстати, предупреждает и сам Google.
Как быстро проверить cookies
Для быстрой проверки cookies есть 2GDPR. Проверка занимает около минуты.
Сам анализ результатов требует больше времени. На свои проекты и сайты клиентов общим количеством более 60 потратил несколько часов. В итоге оказалось, что соблюдает GDPR из них только каждый пятый. В основном проблемы наблюдались из-за загрузки без согласия статистических cookies от Google Analytics. На некоторых сайтах даже были баннеры, что не блокировали такие куки должным образом.
Комментарии (16)
Peter03
24.06.2019 16:49Надо собраться людям которые понимают в технология и объяснить европарламентариям о существовании browser/user fingerprinting
Выглядит как будто закон принимали клинические идиоты, выведи окно с предупреждением о кукис и всё ок. Всё, проблемы с трекингом решены.
Подмена решения реальной проблемы, видимостью её решения.
Peter03
24.06.2019 17:27+1И кстати очень хороший индикатор полезности — у нас в компании все бездельники и тунеядцы очень рады GDPR, это фактически бездонная бочка для симуляции нужности. Постоянные митинги, тренинги, обновление документации раз в три месяца и т.п.
Tangeman
24.06.2019 20:23+2Вообще-то GDPR регулирует сбор и использование персональных данных, требование куки-баннера — это всего-лишь одно из его следствий, а не единственная цель.
Если кто-то использует browser/user fingerprinting, с куками или любым другим способом, при этом не спрашивая согласия и/или не ставя в известность — он всё равно нарушает закон.
Проблема, увы, в том что пассивный сбор информации, равно как и её использование, практически невозможно обнаружить — и чисто административно этого не решить, а чтобы решить технически — нужна поддержка browser (типа обезличенных хидеров и запреты на выдачу внутренних данных, типа внутреннего IP, версии и типа OS etc).
Идеальный browser — тот который не позволяет определить ничего кроме типа (тач или нет) и размера экрана, наличие кодеков для медиа-контента (без версий), уровень поддержки HTML, и, собственно, всё. Пока же js может получить чуть ли не список файлов на компе — увы, fingerprinting будет иметь место.
da411d
25.06.2019 09:16Такой "идеальный браузер" существует — называется Linken Sphere. В нем есть возможность подмены почти всех данных для фингерпринтинга.
Только стоит он 100$ в месяц и используется кардерами..)Tangeman
25.06.2019 16:00Я лично готов платить разумные деньги за браузер который действительно обеспечивает приватность, но вот этот Linken Sphere вызывает сомнения (цитата из FAQ):
Чек лицензии мы проводим раз в полчаса + авторизация.
Серьезно? Очень приватный браузер, однако — звонок домой каждые полчаса… Небось ещё и работать откажется, если не дозвонится (а поскольку делает он это через тор, всё ещё печальнее), и никаких гарантий что ничего «такого» не отправляет (неважно что написано в FAQ, проверить это очень сложно).
Я уже молчу про то что неизвестно кто стоит за ним, оплата только биткоинами и всё такое — не, спасибо, но это больше похоже на мышеловку. Компании или индивидуалам которые действительное делают стоящую вещь, не нарушающую законов, нет смысла быть анонимными, даже наоборот.
sych
26.06.2019 23:57Закон принят людьми, понимающими куда идёт мир. Вы думаете что там все ограничивается требованием согласия на куки, но это 5% от всех требований которые он налагает. Основная там часть — требования по хранению и обработке данных.
Peter03
24.06.2019 20:40а не единственная цель
Это всё конечно так, только вот видно что это делается всеми хоть сколько либо крупными игроками. Не ясно только что это решает? Какая цель показа этого баннера? Выглядит как карго-культ, покажи баннер про куки, тогда всё ок. Бред.
torf
24.06.2019 21:35Мне не совсем понятно почему владелец сайта должен отвечать за куки, которые ставит сторонний скрипт. Ведь с точки зрения разработчика подключается только JavaScript, а ставит он какие-то куки кто его знает. А если я, предположим, подключаю какую-то JS-библиотеку, которая на момент подключения её на сайт никакие куки не ставила, а потом вдруг — хопа — и стала ставить. И что мне, каждую минуту следить, что там ставит сторонний скрипт? А что, к примеру, делать с ресурсами (картинками, стилями и прочим), которые тянутся со стороннего ресурса? Они ведь тоже могут ставить куки. И что, за каждым изображением следить? А, если я ссылки на них ботом откуда-то получаю и их миллионы?
perezanov Автор
25.06.2019 01:22ч. 1 ст. 24 GDPR:
… контролер обязан принять необходимые технические и организационные меры, чтобы гарантировать и быть в состоянии доказать, что обработка осуществляется в соответствии с настоящим Регламентом. При необходимости такие меры нужно пересматривать и обновлять.
ч. 1 ст. 28 GDPR:
В случае обработки от имени контролера, он должен привлекать операторов, которые предоставляют достаточные гарантии принятия необходимых технических и организационных мероприятий способом, позволяющим обеспечить соответствие обработки требованиям настоящего Регламента и защиту прав субъекта данных.
Т.е. если размещаете сторонний JavaScript и хотите совсем без риска, то лучше сразу смотреть, чтобы этот сторонний сервис имел «GDPR compliance».
Ну и все равно, если есть европейские посетители, то желательно периодически сайт перепроверять. На том же 2GDPR есть API для регулярных проверок, но, судя по всему, за него хотят денег.
А по поводу картинок и т.п. — тут все гораздо проще: нужно свое хранилище, в него тянуть, с него и отдавать.Peter03
25.06.2019 17:08чтобы этот сторонний сервис имел «GDPR compliance».
т.е. чтобы у них было написано «GDPR compliant»? А что там на самом деле никого не волнует? Вот это как раз и показатель полезности, борьба за куки баннеры.perezanov Автор
26.06.2019 14:15т.е. чтобы у них было написано «GDPR compliant»? А что там на самом деле никого не волнует?
ну я бы еще сделал скриншот или засейвил их страницу в вебархиве, а потом пусть это волнует проверяющих, если имело место мошенничество или вас ввели в заблуждение по «GDPR compliant». Думаю, что с большой долей вероятности претензий к моему сайту не будет.
А вообще так везде. Есть у тебя компания, оплатил тебе кто-то «сомнительный» за создание сайта. А его потом начали трясти, и трясут тебя заодно, т.к. деньги где-то там изначально оказались государственные. Но если ты ни при чем, а действительно просто создавал сайт, то все ок.
В общем, как ни крути, за контрагентами — глаз да глаз
sirocco
25.06.2019 17:35А есть какой-нибудь сервис(сайт), который мне при посещении показал бы всё, чем я свечу, фингерпринт, и подобное?
vikarti
25.06.2019 18:43Именно ВСЕ — нет.
Просто посмотреть что видят сайты (И попробуют понять насколько уникальны):
amiunique.org
panopticlick.eff.org от EFF (нажать show full data)
whoer.net/ru#extended (просто показ что приходит и оценка анонимности, вместе с рекламой их VPN'а)
Уто увидел гугл (из всех доступных ему источников) и чем он может поделится в некоторых случаях — myactivity.google.com/myactivity (+настройки +информация откуда взялась информация)
Как выгрузить то что система считает 'твоим' (по сути — выполнение соответствующих пунктов GDPR но у гугла появилось раньше), процесс не мгновенный.
takeout.google.com/settings/takeout — Google
privacy.apple.com — Получение копии данных — Apple
Как выгрузить сразу все что гугл считает 'твоим' (
sych
26.06.2019 23:53Весьма узкое понимание понятия "соблюдение GDPR".
- По определению нет возможности только глядя на фронт определить комплаенс. Например, если вы в логе сервера сохранили IP и URL то вы уже должны выполнять требования по хранению данных. Естественно, такое проверить никаким сервисом невозможно.
- Аналитика, ФБ и тд — они сами по себе compliant, поэтому их размещение законно без всяких предупреждений.
- Откуда взялось это название, куки-баннер, есть же название, принятое в индустрии — CMP, Consent Management Platform.
perezanov Автор
27.06.2019 13:31По определению нет возможности только глядя на фронт определить комплаенс. Например, если вы в логе сервера сохранили IP и URL то вы уже должны выполнять требования по хранению данных. Естественно, такое проверить никаким сервисом невозможно.
Это да, но этого и со стороны не видно. А значит вряд ли кто-то пожалуется, ибо жаловаться во внешним признакам не на что. Но про отслеживающие кукисы такого сказать нельзя.
Аналитика, ФБ и тд — они сами по себе compliant, поэтому их размещение законно без всяких предупреждений.
Определенно нет. Привел ссылку в статье, что Google пишет об ответственности владельцев сайтов за получение предварительного согласия по GDPR при использовании своих сервисов.
И при проверке на 2GDPR гугл аналитический кук отображается в пункте «Предварительное согласие для Cookies, не являющихся строго необходимыми». Пример
Откуда взялось это название, куки-баннер, есть же название, принятое в индустрии — CMP, Consent Management Platform.
Откуда взялось это название — CMP — в индустрии?
На сайте Еврокомиссии есть Cookie consent kit. А CMP там означает «The Citizenship and Migration Plan».
Вот так и я, взял и придумал Cookie-баннеры, имхо просто и сразу понятно
olku
Проблема не только в куках. Например, в июне сканирование 7 тысяч доменов в зоне MT выявило 11% сайтов с «tracking without prior consent». При этом GDPR не является законом. Некоторые страны переняли регулы полностью, а другие имеют собственное законодательство по защите данных.